Info Corner / Internet-via-Sat, Datendienste / IPTV / Videoportale / Internet TV & Radio > # News & Infos zu div. Events
Sicherheitskonferenz Black Hat / DeepSec /Defcon etc.
SiLæncer:
Nicht zuletzt durch Sony BMGs fragwürdigen Kopierschutz sind Rootkits und deren Techniken mittlerweile hinreichend bekannt. Dass es neben Rootkits für Unix- und Windows-Systeme auch solche für Datenbanken gibt, ist allerdings nur wenigen geläufig. Alexander Kornbrust von Red Database Security hat bereits im April 2005 eine erste Demonstration eines Datenbank-Rootkits vorgestellt, durch das nicht mehr alle Nutzer und Prozesse einer Datenbank angezeigt werden.
Das Besondere dieser Rootkits liegt in der Unabhängigkeit vom Betriebssystem, da sie sich nur in der Datenbank einnisten; und die kann, wie etwa Oracle, unter Windows, Solaris und Linux laufen. Zudem sind Datenbanken mittlerweile mit so vielen Funktionen ausgestattet, dass sie fast schon ein eigenes Betriebssystem darstellen – allerdings ohne deren Sicherheitsfunktionen. Meist ist über besondere Schnittstellen auch der Zugriff auf die Resourcen des darunterliegenden Betriebssystems möglich.
Mittlerweile arbeitet Kornbrust an Version 2.0 seiner Rootkit-Demonstration, die er auf der kommenden Black-Hat-Konferenz in Las Vegas vorstellen will. Mit den Standardtools zur Administration soll die Tarnkappe nur noch schwer zu entdecken sein. Auch mit den herkömmlichen Security-Tools sei den Datenbank-Rootkits schwer zu Leibe zu rücken, da sie nur die üblichen Betriebssysteme oder Netzwerke analysieren könnten.
Kornbrust versteht sein Tool aber nicht als Hackingwerkzeug, sondern als Werkzeug zur Demonstration von Fehlkonfigurationen und Schwachstellen in bekannten Datenbankprodukten. Gerade weil Oracle und Microsofts SQL-Server immer größere Verbreitung finden, sei damit zu rechnen, dass diese bald vermehrt Angriffen ausgesetzt seien. Ende des vergangenen Jahres tauchte auch schon der erste so genannte Oracle-Wurm auf. Dem Voyager genannten Demonstrationscode fehlte allerdings eine eigene Verbreitungsroutine.
Ein kleine Serie auf heise Security beschäftigt sich mit Rootkits unter Windows. Nachdem der erste Teil die grundlegenden Techniken erläuterte, stellt Windows Rootkits 2005, Teil 2 eine innovative Konzeptstudie vor, die Speicherzugriffe auf Hardware-Ebene kontrolliert und damit unsichtbar für Security-Scanner ist.
Quelle und Links : http://www.heise.de/security/news/meldung/68748
SiLæncer:
Black Hat Konferenz: Können Programme, die sich selbsttätig ausbreiten, auch nützlich sein?
Auf der Konferenz " Black Hat Federal " in Arlington im US-Bundesstaat Virginia holt ein Forscher ein altes Streitthema wieder aus der Versenkung hervor. David Aitel, Forschungsleiter der Sicherheitsfirma Immunity schlägt vor, Wurm-artige Programme in lokalen Netzwerken einzusetzen, die nach Sicherheitslücken auf den Computern eines Unternehmens suchen sollen.
Diese Programme, die Aitel als "Nematoden" bezeichnet , sollen sich selbsttätig von Rechner zu Rechner fortpflanzen, jedoch von einem zentralen Server kontrolliert werden. Sie sollen also um Erlaubnis fragen, bevor sie zum nächsten Rechner weiter ziehen. Auf einem Rechner angekommen, sollen sie nach bekannten Schwachstellen suchen und diese an den Kontroll-Server melden.
Im Gegensatz zu schädlichen Würmern sollen die Nematoden auf ein lokales Netzwerk beschränkt sein, jedoch die Grenzen von Sub-Netzen überwinden können. Aitel meint, diese Methode sei effektiver und preisgünstiger als der Einsatz spezieller Netzwerksensoren, für die auch erhebliche Lizenzkosten anfielen, abhängig von der Größe des Netzwerks.
Kritiker sehen vor allem die Gefahr, dass derartige Programme außer Kontrolle geraten könnten. Außerdem berücksichtige Aitels Vorschlag zwar die Steuerung der Ausbreitung, nicht jedoch den möglichen Einfluss selbstreplizierender Programme auf die Stabilität der Computer.
Bereits 1994 hatte der Virenforscher Vesselin Bontchev das Potenzial "guter Viren" grundsätzlich bejaht - alle Versuche der praktischen Umsetzung, die seitdem stattgefunden haben, müssen jedoch als gescheitert angesehen werden. So wurde im Jahr 2003 der Wurm " Welchia " von Unbekannten in Umlauf gebracht, der wohl eigentlich den "Blaster"-Wurm ( Lovsan ) bekämpfen sollte. Welchia war jedoch bei seiner eigenen Ausbreitung so aggressiv, dass er mehr Probleme schuf als er lösen konnte.
Quelle und Links : http://www.pcwelt.de/news/sicherheit/130945/index.html
SiLæncer:
Bereits seit September 2004 liefert Microsoft den so genannten Fingerprint Reader, ein Authentifizierungs-Gerät für PCs, aus. Werbung für den Einsatz des Produkts in sicherheitsrelevanten Bereichen hat das Unternehmen dabei nie gemacht. Ein Sicherheitsexperte des finnischen Militärs hat sich angeschaut warum dies so ist.
Obwohl der Fingerprint Reader nicht autorisierte Personen davon abhalten kann, sich am PC einzuloggen, hat Microsoft dieses Produkt nie für sicherheitsrelevante Bereiche empfohlen, stattdessen sollten Anwender dieses Feature nur als Komfortelement ansehen und nutzen - um sich nicht Dutzende von Passwörtern merken zu müssen und schnell auf Web-Seiten einloggen zu können. Ja, Microsoft warnt sogar ausdrücklich in dem "How To Guide" zum Fingerprint Reader (siehe Ausschnitt rechts) davor, den Fingerprint Reader für sicherheitsrelevante Bereiche zu benutzen.
Dem ist nun der Mikko Kiviharju, Forscher bei den Finnish Defense Forces, nachgegangen. Auf der Black Hat Europe präsentiert der Wissenschaftler seine Ergebnisse . Die Kernaussage: Der Fingerprint Reader von Microsoft verschlüsselt den Fingerabdruck nicht.
Da das Fingerprint Image unverschlüsselt vom Fingerprint Reader an den PC übertragen wird, kann es dementsprechend leicht entwendet werden. Beispielsweise mit einem Sniffer, so Kiviharju. Um den Fingerabdruck weiter zu verwenden, ist den Ausführungen von Kiviharju zufolge dann aber wieder wesentlich mehr technischen Wissen erforderlich.
Was den Forscher und einige Kollegen noch mehr verwundert hat: Ihren Analysen zufolge, hätte Microsoft die Verschlüsselung mit einigen wenigen Änderungen an der Firmware des Produkts aktivieren könnte. "Das hat einige der Experten, die mich kontaktiert haben, ebenfalls sehr verblüfft“, erklärte Kiviharju. "Es ist ein ziemlich anständiges Produkt, aber irgendwie hat Microsoft es geschafft, es zu vermasseln."
Microsoft hat die Technologie für den Fingerprint Reader von der in Redwood City, Kalifornien, ansässigen Firma Digital Persona Inc. lizenziert. Digital Persona stellt ein ähnliches Produkt her - namens U.are.U 4000 -, das die Fingerprint Images allerdings verschlüsselt.
Der Ansicht eines Sicherheitsspezialist zufolge könnte die Einstellung für die Verschlüsselung auch Teil der Lizenzbedingungen sein. Indem eine Versionen des Produkts geschaffen wurde, das nicht auf die Sicherheit fokussiert ist, könnten Microsoft und Digital Persona sicherstellen, dass die Produkte der beiden Firmen nicht gegeneinander konkurrieren, so Russ Cooper, Senior Information Security Analyst bei Cybertrust.
Microsoft war auf Anfragen des IDG News Service kein Kommentar zu entlocken. Digital Persona wollte die Entscheidung von Microsoft, das Feature abzuschalten, nicht kommentieren.
Quelle : www.pcwelt.de
SiLæncer:
Aufgrund seiner Einfachheit und Flexibilität hat der kostenlose Voice-over-IP-Dienst Skype recht weite Verbreitung gefunden – nicht zuletzt, weil Skype-Clients auch ohne Umkonfiguration der Firewall von außen erreichbar sind. Sicherheitsspezialisten stellen sich ob solcher Fähigkeiten allerdings die Nackenhaare auf. Da der Hersteller das proprietäre Skype-Protokoll und die genaue Funktionsweise des Clients nicht offengelegt hat, bleibt die Frage, was Skype sonst noch so alles kann und welche Risiken der Einsatz etwa im Unternehmensfeld birgt. Insbesondere wird gerne darüber spekuliert, ob Skype irgendeine Backdoor enthält.
Seit längerem gibt es Versuche, die Arbeitsweise von Skype zu analysieren und zu dokumentieren. Erste Ergebnisse (PDF-Datei) lieferte bereits 2004 die Universität Columbia, die aber hauptsächlich den Netzwerkverkehr untersuchte. Philippe Biondi und Fabrice Desclaux von EADS haben kürzlich auf der Black-Hat-Konferenz nachgelegt und die genauere Arbeitsweise des Clients veröffentlicht.
Sie fanden heraus, dass der Hersteller immensen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. So erkennt der Client beispielsweise, ob er in einem Debugger (etwa SoftIce) läuft und ändert sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschlüsselt und werden erst zur Laufzeit ausgepackt. Die Präsentation "Silver Needle in the Skype" der beiden EADS-Wissenschaftler zeigt aber, wie man Skype austricksen kann, um es trotzdem zu analysieren.
Darüber hinaus ist es den beiden Forscher gelungen, die Art der Datenverschlüsselung, die Berechung des Schlüssels sowie die Authentifizierung von Skype herauszufinden. Ein Teil ihres Vortrags zeigt sogar die prinzipielle Möglichkeit auf, manipulierte Supernodes ins Netz zu bringen, um VoIP-Verkehr umzuleiten und zu belauschen.
Eine abschließende Bewertung geben Biondi und Desclaux nicht ab. Bedenklich sei aber, dass man Skype nicht gut vor Attacken schützen könne, da der Verkehr verschlüsselt ist. Zudem würde jedem Skype-Gesprächspartner eine Vertrauensstellung zugebilligt, die so nicht immer sinnvoll sei. Immerhin loben sie das clevere Design und die gute Implementierung der kryptographischen Funktionen. Ob Skype ein Backdoor enthält, konnten sie allerdings auch nicht beantworten.
Siehe dazu auch:
* Silver Needle in the Skype (PDF), Vortrag von Philippe Biondi und Fabrice Desclaux
Quelle und Links : http://www.heise.de/security/news/meldung/71094
SiLæncer:
Malware wird in unauffälligen Bilddateien oder PDF-Dateien versteckt, die im Browser angezeigt werden.
Bei bisherigen Ansätzen zum Einschleusen von schädlichem Programm-Code mit Hilfe von Bilddateien gibt es in aller Regel kein Bild, das angezeigt werden könnte. Vielmehr führt der Versuch des Öffnens bei anfälligen Programmen zum Absturz, wodurch der Code im Speicher ausgeführt wird. Die Forscher der zu Verisign gehörenden Sicherheitsheitsfirma Idefense haben jetzt einen Weg gefunden, Code in normalen Bilddateien zu verstecken.
Die bislang bekannten Angriffe, etwa der WMF-Exploit , nutzen Sicherheitslücken in Grafikmodulen, indem sie präparierte Dateien verwenden, die auf Grund von Merkmalen wie der Dateiendung als Bild geöffnet werden. Es handelt sich jedoch im Grunde gar nicht um Bilder. Durch einen Pufferüberlauf im Speicher stürzt die Anwendung ab und hinterlässt ausführbaren Programm-Code aus der vermeintlichen Bilddatei im Speicher.
Die von Greg McManus, leitender Sicherheitsforscher bei Idefense, entdeckte Angriffsmethode hingegen verwendet größere Bilddateien, in denen der schädliche Code versteckt wird. Die sichtbaren Bildinhalte bleiben weitgehend erhalten und das Bild wird (zum Beispiel im Web-Browser) scheinbar ganz normal angezeigt. Wie der enthaltene Code dann zur Ausführung gelangen soll, will McManus Anfang August auf der Black Hat Konferenz in Las Vegas demonstrieren.
Sollte sich erweisen, dass die von Idefense entdeckte Angriffsmethode auf breiter Front einsetzbar ist, ohne dass erst noch neue Sicherheitslücken in bestimmten Programmen gefunden werden müssen, kommt viel Arbeit auf die Entwickler von Sicherheitssoftware zu. Sie müssen dann Wege finden, wie schädlicher Code bereits in dem aus dem Internet kommenden Datenstrom entdeckt werden kann, bevor eine solche Datei in einem Programm geöffnet wird. Das ist zwar technisch möglich, kann jedoch die normale Nutzung des Internets ausbremsen.
Quelle : www.pcwelt.de
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln